BC obriga instituições de pagamento a adotarem política de cibersegurança

O Banco Central definiu que as instituições de pagamento deverão estabelecer Política de Segurança Cibernética, além de plano de ação e resposta a incidentes. A ação compõe a Agenda BC+, no Pilar SFN Mais Eficiente.

A medida já havia sido adotada para as demais instituições financeiras por meio da Resolução 4.658 do Conselho Monetário Nacional (CMN), publicada em abril deste ano.

A Circular 3.909 estabelece que deverão estar previstas na política iniciativas para compartilhamento, com outras instituições do sistema financeiro, de informações sobre os incidentes relevantes.

Além disso, será necessário elaborar relatório anual tratando da implementação do plano de ação e de resposta a incidentes. Esse relatório deverá ser encaminhado ao conselho de administração, ou, na sua inexistência, à diretoria da instituição.

A política de segurança cibernética a ser implementada pelas instituições de pagamento deverá ser compatível com o porte, o perfil de risco e o modelo de negócio, considerando a natureza das suas atividades e a complexidade dos produtos e serviços oferecidos, bem como a sensibilidade dos dados e das informações.

O BC também definiu regras a serem observadas pelas instituições de pagamento na contratação de serviços de processamento e de armazenamento de dados, incluindo a computação em nuvem.

Da mesma forma como estava previsto para as demais instituições financeiras, ficou definido que a responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados é a instituição de pagamento.

Vale lembrar que o Banco Central considera instituição de pagamento a pessoa jurídica não financeira que preste serviço de pagamento, tais como gerir conta de pagamento, emitir instrumento de pagamento, credenciar para aceitação desses instrumentos, fazer remessa de fundos e outras atividades previstas na Lei 12.865.

Confira a íntegra da circular no site do BC.